El desarrollo de la computación cuántica amenaza con romper los sistemas de cifrado tradicionales, exponiendo información sensible.
Los ciberdelincuentes están aplicando la estrategia de «cosechar ahora y descifrar después», robando datos encriptados para descifrarlos en el futuro.
La Unión Europea ha marcado una hoja de ruta con el año 2030 como límite para implementar criptografía poscuántica en sectores de alto riesgo.
Organizaciones y expertos subrayan la importancia de la «criptoagilidad» para adaptar las defensas de forma progresiva sin detener los servicios.
La amenaza cuántica: un riesgo presente para el futuro
La computación cuántica, aunque parezca una tecnología del futuro, plantea riesgos inminentes para la ciberseguridad actual. La principal amenaza es la desencriptación cuántica, mediante la cual ciberdelincuentes equipados con estas herramientas podrán romper los sistemas de cifrado convencionales.
Conscientes de este peligro, los actores maliciosos ya están ejecutando una estrategia conocida como «cosechar ahora, descifrar después». Esta táctica consiste en robar y almacenar grandes volúmenes de datos encriptados que hoy son invulnerables, esperando a tener la tecnología cuántica necesaria para descifrarlos en los próximos años.
Conciencia del riesgo y respuestas institucionales
A pesar de la gravedad, una encuesta reciente de ISACA (2025) revela que solo un 5 % de los profesionales de ciberseguridad considera este riesgo como una alta prioridad. Sin embargo, instituciones como el think tank europeo CEPS advierten que la vulneración de la criptografía clásica no ocurrirá de golpe, sino de manera gradual.
Para mitigar este riesgo, el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) publicó en 2024 los primeros algoritmos de criptografía poscuántica (PQC). Estos estándares están diseñados para resistir ataques ejecutados por ordenadores cuánticos y ya se encuentran en fase de prueba.
Además, se están desarrollando sistemas de distribución de claves cuánticas (QKD) para las transmisiones de datos. Estos mecanismos utilizan las propiedades de la física cuántica para detectar brechas e intrusiones, funcionando como un sistema de alerta temprana.
La estrategia de transición en Europa y España
La Unión Europea ha diseñado una hoja de ruta para la transición hacia la criptografía poscuántica. La primera fase de despliegue está prevista para finales de 2026, estableciendo 2030 como límite para entornos de alto riesgo y 2035 para el resto.
En España, el Instituto Nacional de Ciberseguridad (Incibe) se ha adelantado invirtiendo en proyectos de criptografía avanzada. A través de su programa de compra pública innovadora, financia iniciativas en distintas ciudades para desarrollar sistemas resistentes a los ataques cuánticos y fomentar su posterior comercialización.
Criptoagilidad: la clave de la protección empresarial
Para el sector privado, la transición debe ser progresiva y estratégica. Es fundamental evaluar qué información requiere confidencialidad a largo plazo y priorizar su protección. Aquí entra en juego el concepto de «criptoagilidad», que permite cambiar o combinar algoritmos criptográficos sin rediseñar por completo la arquitectura tecnológica.
Las organizaciones que manejan datos sensibles no pueden esperar a tener certezas absolutas, ya que el riesgo puede volverse inaceptable. Normativas como el RGPD, NIS2 o DORA obligan a proteger la información sin limitar el horizonte temporal, lo que exige considerar la amenaza cuántica en las evaluaciones de seguridad.
El sector financiero lidera la adaptación
Entidades financieras como CaixaBank ya abordan este riesgo de manera proactiva. Han diseñado un plan con horizonte 2029 centrado en lograr un modelo sólido de criptoagilidad. Esto incluye analizar la incorporación ordenada de nuevos esquemas PQC para proteger los datos en tránsito y en reposo.
El objetivo es automatizar los ciclos de vida de los activos criptográficos, contar con inventarios exhaustivos y monitorizar continuamente para detectar desviaciones. Además, colaboran en foros sectoriales como el Quantum Safe Financial Forum para compartir buenas prácticas y asegurar una transición alineada con las exigencias regulatorias.
